律新社品牌之星郭贺依教你成为数据合规律师

律新社品牌之星郭贺依教你成为数据合规律师

郭贺依律师，被评为“律新社2024年度数据合规领域品牌之星：新锐律师”，以其在数据合规领域的专业知识和卓越贡献，成为了该领域的佼佼者。通过她的经验和指导，你可以了解如何成为一名优秀的数据合规律师，掌握最新的法规动态和实践技巧，从而在这个充满挑战和机遇的新兴领域取得成功。

郭贺依律师拥有丰富的金融行业、互联网行业数据合规的法律服务经验，曾服务于多家互联网科技公司、跨境电商企业和大型保险公司，并帮助多家国企完成数据资产登记、数据产品上架以及数据资产入表等工作。深耕于前沿的法律业务中，使她更能了解客户所在的行业特征和商业模式，更为快速精准地了解客户的核心需求，并提供从基础到战略的详细、直接、高效的法律服务。

作为《企业数据合规·京师律所法律服务蓝皮书》的主编，她带领京师总部数据出境合规法律事务部、京师上海数据合规与交易中心的律师共同搭建了一站式、全景化的团队服务能力，亦能为企业出海东南亚、中东、日韩、欧美等地提供海外合规落地服务。

自2025年1月1日起施行的《网络数据安全管理条例》，为企业获取、处理、应用网络数据、网络数据的跨境流动提出了新的要求。从企业数据合规方面来看：

1. 一般规定：

• 企业在数据合规方面，需对网络数据的安全承担主体责任
• 建立相应制度；采取技术措施
• 建立应急预案，处置相关安全事件
• 发生相关事件做到对相关人或相关管理机构及时通知、通报
• 向其他处理者提供数据应通过合同约定权利义务，并保存至少3年的相关处理情况记录
• 可能影响国家安全的，应进行国家安全审查
• 生成式人工智能服务的网络数据处理者应加强对训练数据和处理活动的安全管理
• 建立网络数据安全投诉、举报渠道

2. 个人信息保护：

• 敏感个人信息应书面同意
• 使用自动化采集等无法避免采集到非必要个人信息或未经同意的个人信息，应删除个人信息或者进行匿名化处理
• 境外网络数据处理者处理境内自然人个人信息应报送所在地设区的市级网信部门

3. 重要数据安全

• 制定实施管理制度、操作规程、应急预案
• 开展安全风险检测、风险评估、应急演练、教育培训
• 处理安全投诉、举报
• 特殊重要数据，对相关人员进行安全背景审查
• 重要数据处理前的风险评估：
  目的、方式、范围等是否合法、正当、必要
  处理网络数据的风险
  接收方诚信守法情况
  合同中数据安全的要求能否有效约束
  技术管理措施能否有效防范

企业需重点关注：

• 重要数据的处理者应当每年度对其网络数据处理活动开展风险评估，并向省级以上有关主管部门报送风险评估报告：
  基本信息
  处理重要数据的目的、种类、数量、方式、范围、存储期限、存储地点
  安全管理制度及实施情况；技术措施及有效性
  安全风险、安全事件及处置
  提供、委托处理、共同处理重要数据的风险评估情况
  网络数据出境情况
  说明关键业务和供应链网络数据安全

4. 网络平台服务提供者：

• 应当通过平台规则或者合同等明确第三方的网络数据安全保护义务
• 第三方违反规定造成损害的，网络平台服务提供者、第三方产品和服务提供者、预装应用程序的智能终端等设备生产者应承担相应责任
• 大型网络平台服务提供者应当每年度发布个人信息保护社会责任报告：
  个人信息保护措施和成效
  个人行使权利的申请受理情况
  由外部成员组成的个人信息保护监督机构履行职责情况

金融行业尤其是银行业，是国家关键信息基础设施的重要运营者。其数据一旦遭到破坏、篡改、泄露等，会对国家安全、公共利益造成严重危害。此外，因其自身经营属性，金融机构留存了大量与个人人身和财产安全密切相关的敏感信息数据，保障数据安全成为金融业务流程中的关键核心路径。

随着“三法两条例”以及金融相关数据安全指导意见的相继出台，对于众多金融机构来说，坚持把安全贯穿价值创造和实现全过程，建立系统、科学的数据安全体系，筑牢安全屏障，迫在眉睫。

国内某知名股份制商业银行，业务量巨大。面临数字化转型大势，将部分线下业务转至线上。目前已累计业务系统400+，数据项超500W+。面对海量数据，客户急需通过数据分类分级，理清数据分类，界定数据安全级别，从而依据其结果进行精细化风险分析及安全管控。因此，数据分类分级成为该银行当前数据安全建设的首要工作。

为加强工作体系化程度，提升数据分类分级效率，安恒信息携手客户制定“1+1+4”项目实施顶层架构——即“1个项目小组、1个分级工具、4个关键步骤”，AI工具领航，实现项目“人员配备系统科学、工具应用高能聚焦、全生命周期高效实施”。

一、团队作战，确保人员配备系统科学
配备项目小组，成员各有分工又相互配合，具体如下：

• 项目经理：负责整体项目质量、进度把控，相关资源协调。
• 实施人员：负责数据分类分级手动打标及结果确认。
• 算法人员：根据模型效果对于算法参数进行调优。
• 结果验收：对于分类分级结果的准确性进行确认并验收。
• 咨询顾问：对于分类分级结果双方存疑的给出专业意见。

二、三大能力，确保工具应用高效聚焦
使用安恒信息核心AI数据分类工具，具备以下核心能力：

• 快速“冷启动”的能力：工具内置金融行业通用数据分类分级模型及规则，快速识别行业共性数据。同时具备数据聚类能力，将相同数据进行归类，辅以少量分类分级规则定义，以减少人工进行分类分级打标的工作量。
• 结果“自纠错”的能力：工具具备数据分类分级结果的智能纠错能力，如识别规则识别结果与模型分析结果冲突项、相同数据分析结果不一致项、模型迭代结果不一致项等，大幅减少了分类分级结果准确性校验的工作量。
• 模型“强适配”的能力：工具具备极强的客户实际数据的强适配能力，以应对客户之间由于行业差异、业务差异、体量差异等导致的数据差异性，通过训练数据质和量的不断提升，最终实现模型预测的高识别率与准确率。

三、规划先行，全生命周期高效实施
项目整体从“训练数据准备”、“打标数据纠错”、“阶段成果验收”、“算法模型迭代”4个步骤进行，经过不断循环迭代完成。

• 算法模型迭代：利用已经打标完的训练数据，通过分类分级工具进行模型的迭代，同时算法人员根据模型预测结果及错误数据对于算法参数进行调优。训练完的新模型继续对于未分类分级的数据进行预测，再次进入训练数据准备阶段。
• 训练数据准备：确定项目涉及系统后，按照系统拥有个人信息及业务重要性依次开展工作，通过分类分级工具的聚类能力及规则识别能力，手动优先完成一部分高频、重要数据的打标工作。
• 打标数据纠错：通过分类分级工具，将训练数据中可能有错误的数据进行识别，由人工对这部分结果进行确认并调整。对于由个人认知差异产生的错误结果，在项目组内同步并达成一致意见。
• 阶段成果验收：结果验收人员通过重点数据校验及一般数据抽验两种方式，对分类分级的阶段性成果进行验收。对于双方无法达成一致意见的，由咨询顾问介入并给出专业意见。最终结果同步至组内各成员，以实现认知上的统一。

客户价值
效率提升：经过项目实施，助力客户累计完成1期90+个核心系统的数据分类分级工作，涉及数据项超100W个，提前完成项目验收。
效果突出：最终通过分类分级模型反复迭代，系统自动识别率超95%，准确率超90%。
夯实基础：本项目实现了数据分类分级的流程重塑。直接实现与客户数据资产管理平台的对接，无须从客户原始库中获取数据资产基本信息，避免对于业务系统造成的干扰。数据分类分级的结果通过接口方式实时反哺至客户数据资产管理平台，以帮助客户形成完整的数据资产目录，为后续整体的数据安全管控奠定了基础。

成为一名优秀的数据合规律师，不仅需要深厚的法律专业知识，还需要掌握隐私保护领域的最新法律、法规和技术。国际隐私专业人士协会（IAPP）的隐私法专家（PLS）认证是该领域的重要认证，其要求包括：

1. 在至少一个美国州拥有良好信誉的律师资格
2. 持有CIPP/US认证
3. 持有CIPM或CIPT认证
4. 通过IAPP PLS伦理考试或提供最近五年内取得的≥80分的MPRE成绩
5. 在过去三年中持续并大量从事隐私法实践（至少占全职实践时间的25%）
6. 提供至少36小时隐私法继续教育的证据（在申请前三年内完成）
7. 提供至少五个来自律师、客户或法官的同侪推荐
8. 在提交申请时支付50美元的申请费

随着数字经济的发展，数据合规需求激增，特别是在金融、互联网等行业。律师可以通过提供定制化解决方案，满足企业在融资、上市等关键阶段的合规要求，助力其在竞争中占据优势。数据合规律师的职业发展前景广阔，既可以在大型律师事务所发展，也可以进入企业担任法务顾问，或专注于某一特定法律领域成为顶尖专家。

总之，律师在数据合规领域的业务机会广泛且充满挑战。通过不断更新专业知识和实践经验，律师能够为企业提供高效的服务，同时推动自身职业发展。